Informativa sulla Privacy

Ultimo aggiornamento: 21/01/2026

1. Titolare del Trattamento

Il Titolare del trattamento dei dati è AI SOLUTIONS S.R.L. (di seguito "noi" o "Titolare"), con sede legale in VIA DI COLTURA 11, 38123 Trento (TN).

  • P.IVA: 02812340228
  • C.F.: 02812340228
  • Email: info@autofattura.io

2. Tipologie di Dati Raccolti

Raccogliamo e trattiamo i seguenti tipi di dati personali:

  • Dati di fatturazione necessari per la generazione delle autofatture
  • Dati delle fatture utilizzati per l'elaborazione delle autofatture
  • Dati personali relativi al profilo utente (come nome, cognome, email)

3. Finalità del Trattamento

I dati personali sono raccolti per le seguenti finalità:

  • Gestione e generazione delle autofatture
  • Gestione del profilo utente e autenticazione
  • Miglioramento del servizio attraverso analisi statistiche anonimizzate
  • Assistenza clienti e supporto tecnico

4. Base Giuridica del Trattamento

Il trattamento dei dati personali si basa sulle seguenti basi giuridiche previste dal GDPR:

  • Esecuzione del contratto (Art. 6(1)(b) GDPR): Il trattamento è necessario per l'esecuzione del contratto di servizio e per fornire le funzionalità richieste (generazione autofatture, gestione account, ecc.).
  • Obbligo legale (Art. 6(1)(c) GDPR): Il trattamento è necessario per adempiere agli obblighi di legge, in particolare la conservazione dei dati fiscali per 10 anni come previsto dalla normativa italiana.
  • Consenso (Art. 6(1)(a) GDPR): Per finalità di marketing e comunicazioni promozionali, previo consenso esplicito dell'utente. Il consenso può essere revocato in qualsiasi momento senza pregiudicare la liceità del trattamento basato su altre basi giuridiche.

4.1. Uso di Intelligenza Artificiale

Autofattura.io utilizza sistemi di intelligenza artificiale (AI) per automatizzare l'estrazione di dati dalle fatture in formato PDF. Questa sezione fornisce informazioni dettagliate sull'uso dell'AI dal punto di vista del trattamento dei dati personali, in conformità al Regolamento UE sull'Intelligenza Artificiale (AI Act) e al GDPR.

Per informazioni sul funzionamento tecnico del sistema AI, sugli obblighi di verifica e sulle responsabilità, si rinvia ai nostriTermini e Condizioni, sezioni 3 e 4.

4.1.1. Fornitore AI e Tecnologia Utilizzata

Utilizziamo un sistema di intelligenza artificiale fornito da un provider specializzato (Stati Uniti) per l'estrazione automatica di dati dai documenti PDF delle fatture. Il sistema AI analizza i documenti caricati utilizzando tecniche avanzate di visione artificiale e Natural Language Processing per estrarre informazioni strutturate quali: data fattura, numero, importi, partita IVA fornitore, valuta, ecc.

Il fornitore AI agisce esclusivamente come processor per conto nostro e processa i dati in conformità alle nostre istruzioni, senza utilizzarli per scopi propri. Per motivi di protezione di informazioni commerciali sensibili, non indichiamo il nome specifico del fornitore, ma garantiamo che si tratta di un provider affidabile e conforme al GDPR. Su richiesta specifica, possiamo fornire maggiori dettagli sul fornitore utilizzato.

4.1.2. Finalità del Trattamento con AI

L'AI viene utilizzata esclusivamente per:

  • Estrarre dati strutturati da documenti PDF non strutturati
  • Identificare e classificare informazioni rilevanti per la generazione dell'autofattura
  • Ridurre errori di trascrizione manuale

Importante: L'AI opera come strumento di supporto. I risultati dell'estrazione sono sempre soggetti a verifica e approvazione da parte dell'utente prima della generazione definitiva dell'autofattura. Non utilizziamo l'AI per assumere decisioni autonome che influenzano i diritti dell'utente senza supervisione umana.

4.1.3. Trasferimento Dati al Fornitore AI

Per fornire il servizio di estrazione dati, i documenti PDF caricati vengono inviati temporaneamente al fornitore AI per l'elaborazione tramite API. Il fornitore AI processa i dati esclusivamente per conto nostro e in conformità alle nostre istruzioni, senza utilizzarli per addestrare modelli o altri scopi.

Misure di protezione:

  • I dati vengono trasmessi utilizzando connessioni crittografate (HTTPS/TLS)
  • Il fornitore AI non utilizza i dati per addestrare modelli o altri scopi, come specificato nei nostri accordi contrattuali
  • I dati vengono processati temporaneamente e non vengono conservati dal fornitore AI oltre il tempo necessario per l'elaborazione
  • Il trasferimento avviene sulla base di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea per garantire un livello adeguato di protezione dei dati

4.1.4. Logica del Processing AI

Il sistema AI analizza il contenuto dei PDF utilizzando tecniche di visione artificiale, Natural Language Processing (NLP) ed estrazione strutturata per identificare e classificare le informazioni rilevanti (date, importi, codici, ecc.).

Il sistema è progettato per identificare pattern comuni nelle fatture e estrarre informazioni con un alto grado di accuratezza. Tuttavia, la precisione può variare in base alla qualità e al formato del documento originale. Per informazioni dettagliate sui limiti del sistema e sugli obblighi di verifica, si rinvia ai nostriTermini e Condizioni, sezione 4.2.

4.1.5. Diritto di Controllo e Revisione

In conformità all'AI Act e al GDPR, garantiamo all'utente il diritto di:

  • Ricevere tutti i risultati dell'estrazione AI per verifica prima della generazione finale
  • Modificare, correggere o integrare i dati estratti in qualsiasi momento
  • Richiedere spiegazioni su come l'AI ha processato i dati (diritto di spiegazione AI)
  • Contestare i risultati dell'estrazione e richiedere revisione umana

Il sistema non procede automaticamente senza conferma esplicita dell'utente. Per informazioni sugli obblighi di verifica e supervisione umana, si rinvia ai nostriTermini e Condizioni, sezione 4.3.

5. Servizi di Terze Parti

Utilizziamo i seguenti servizi di terze parti per fornire il servizio. In conformità all'Art. 13 GDPR, ti informiamo di tutti i destinatari dei dati personali:

  • Fornitore AI per estrazione dati: utilizziamo un sistema di intelligenza artificiale fornito da un provider specializzato (Stati Uniti) per l'estrazione automatica di dati dai PDF. I dati vengono processati temporaneamente per conto nostro, esclusivamente per fornire il servizio. Base giuridica: esecuzione del contratto. Trasferimento: USA, con garanzie tramite Standard Contractual Clauses. Il fornitore agisce come processor e non utilizza i dati per scopi propri. Per motivi di protezione di informazioni commerciali sensibili, non indichiamo il nome specifico del fornitore, ma garantiamo conformità GDPR. Su richiesta, possiamo fornire maggiori dettagli.
  • Supabase: piattaforma cloud utilizzata come database e storage per la gestione dei dati degli utenti e dei documenti. I server sono localizzati all'interno dell'Unione Europea. Base giuridica: esecuzione del contratto.
  • Stripe: servizio di pagamento utilizzato per gestire gli acquisti di crediti. Stripe riceve dati di pagamento, email utente e identificativi necessari per processare le transazioni. Base giuridica: esecuzione del contratto. Trasferimento: USA, con garanzie tramite Standard Contractual Clauses. Maggiori informazioni:Privacy Policy Stripe.
  • Fatture in Cloud S.r.l.: servizio di fatturazione elettronica utilizzato per l'invio delle autofatture generate. Quando utilizzi l'integrazione con Fatture in Cloud, i dati delle fatture (dati fornitore, importi, date, ecc.) vengono inviati al servizio Fatture in Cloud per la creazione e gestione delle autofatture nel tuo account. Base giuridica: esecuzione del contratto. I server sono localizzati in Italia. Maggiori informazioni:Privacy Policy Fatture in Cloud.
  • Fornitore API per Sistema di Interscambio (SDI): servizio utilizzato per l'invio diretto delle autofatture elettroniche al Sistema di Interscambio dell'Agenzia delle Entrate. Quando utilizzi la modalità "Invio Diretto", i dati completi delle autofatture (in formato XML) vengono inviati tramite API autorizzata al Sistema di Interscambio per la trasmissione all'Agenzia delle Entrate. Base giuridica: obbligo legale (invio fatture elettroniche previsto dalla normativa italiana). I server sono localizzati in Italia. Per motivi di protezione di informazioni commerciali sensibili, non indichiamo il nome specifico del fornitore API, ma garantiamo che si tratta di un fornitore autorizzato e conforme al GDPR. Su richiesta specifica, possiamo fornire maggiori dettagli.
  • Google reCAPTCHA: servizio di sicurezza utilizzato per prevenire abusi e verificare che le azioni siano eseguite da utenti reali. Google reCAPTCHA riceve informazioni sulle interazioni dell'utente con il sito (token, indirizzo IP, comportamento). Base giuridica: legittimo interesse (sicurezza del servizio). Trasferimento: USA, con garanzie tramite Standard Contractual Clauses. Maggiori informazioni:Privacy Policy Google.
  • Google Analytics 4 (GA4): per l'analisi delle statistiche di utilizzo del sito. I dati raccolti sono anonimizzati e utilizzati solo per fini statistici. Base giuridica: consenso (raccolto tramite cookie banner). Trasferimento: USA, con garanzie tramite Standard Contractual Clauses.
  • Microsoft Clarity: per l'analisi del comportamento degli utenti e il miglioramento dell'esperienza utente. I dati sono anonimizzati. Base giuridica: consenso (raccolto tramite cookie banner). Trasferimento: USA, con garanzie tramite Standard Contractual Clauses.
  • VIES (VAT Information Exchange System): servizio pubblico dell'Unione Europea utilizzato per la verifica delle partite IVA europee. Quando verifichiamo una partita IVA, inviamo solo il numero di partita IVA al sistema VIES per la validazione. Non vengono inviati altri dati personali. Base giuridica: legittimo interesse (verifica validità dati fiscali). I server sono gestiti dalla Commissione Europea.

Nota: Alcuni di questi servizi possono essere opzionali (ad esempio, Fatture in Cloud è utilizzato solo se scegli di integrare il servizio, mentre l'invio diretto SDI è utilizzato solo se scegli quella modalità). I dati vengono condivisi solo quando necessario per fornire la funzionalità richiesta.

Diritto di accesso ai destinatari: In conformità all'Art. 15 GDPR, hai il diritto di conoscere l'identità specifica di tutti i destinatari dei tuoi dati personali. Se desideri ricevere l'elenco completo e aggiornato dei fornitori terze parti con i loro nomi specifici, puoi richiederlo contattandoci all'indirizzo info@autofattura.io. Garantiamo la massima trasparenza nel rispetto dei tuoi diritti, bilanciando al contempo la protezione di informazioni commerciali sensibili che potrebbero essere utilizzate per finalità competitive.

6. Conservazione dei Dati

I dati personali vengono conservati per il tempo necessario al raggiungimento delle finalità per cui sono stati raccolti, o per il periodo previsto da obblighi di legge. In particolare:

  • Dati di fatturazione e documenti PDF: 10 anni come previsto dalla normativa fiscale italiana (Art. 2220 c.c. e D.P.R. 600/1973). Questo periodo è obbligatorio per legge e non può essere ridotto.
  • Dati del profilo utente: fino alla cancellazione dell'account da parte dell'utente, salvo obblighi di conservazione per dati fiscali connessi.
  • Dati processati dall'AI: I documenti PDF inviati ad Anthropic per l'elaborazione vengono processati temporaneamente e non vengono conservati da Anthropic oltre il tempo necessario per l'estrazione dati (tipicamente pochi secondi/minuti).
  • Dati di analisi e statistiche: in forma anonimizzata per massimo 26 mesi (Google Analytics 4) o secondo le policy dei rispettivi servizi.

Al termine del periodo di conservazione, i dati vengono cancellati in modo sicuro, salvo obblighi di legge che richiedano conservazione più lunga.

7. Trasferimento dei Dati

La maggior parte dei dati personali è conservata su server ubicati all'interno dell'Unione Europea (Supabase - server UE, Fatture in Cloud - server Italia, OpenAPI/SDI - server Italia).

Trasferimenti verso paesi extra-UE:

Alcuni servizi di terze parti utilizzati per fornire il servizio sono ubicati al di fuori dell'Unione Europea, principalmente negli Stati Uniti. Tutti questi trasferimenti avvengono sulla base di Standard Contractual Clauses (SCC) approvate dalla Commissione Europea, che garantiscono un livello adeguato di protezione dei dati personali equivalente a quello previsto dal GDPR.

  • Fornitore AI (USA): I documenti PDF vengono temporaneamente inviati al fornitore AI per l'elaborazione. I dati vengono processati esclusivamente per conto nostro e non vengono utilizzati per altri scopi né conservati oltre il tempo necessario.
  • Stripe (USA): Dati di pagamento, email utente e identificativi necessari per processare le transazioni vengono trasferiti a Stripe per la gestione dei pagamenti. Stripe è conforme a PCI-DSS per la sicurezza dei dati di pagamento.
  • Google (USA): Dati anonimizzati per Google Analytics 4 e informazioni sulle interazioni per Google reCAPTCHA vengono trasferiti a Google. I dati sono anonimizzati o utilizzati esclusivamente per le finalità indicate.
  • Microsoft (USA): Dati anonimizzati per Microsoft Clarity vengono trasferiti a Microsoft per l'analisi del comportamento degli utenti. I dati sono anonimizzati.

Tutti i trasferimenti extra-UE sono effettuati con garanzie adeguate (Standard Contractual Clauses) e nel rispetto del GDPR. Per maggiori informazioni sui trasferimenti e le garanzie applicate, puoi contattarci all'indirizzo info@autofattura.io.

8. Diritti dell'Interessato

In qualità di interessato, hai il diritto di:

  • Accesso (Art. 15 GDPR): Ottenere conferma dell'esistenza di dati personali che ti riguardano e accedere agli stessi, comprese informazioni su finalità, categorie di dati, destinatari e periodo di conservazione.
  • Rettifica (Art. 16 GDPR): Ottenere la rettifica di dati personali inesatti o il completamento di dati incompleti.
  • Cancellazione (Art. 17 GDPR): Richiedere la cancellazione dei dati personali quando non sono più necessari o quando revochi il consenso, salvo obblighi di conservazione previsti dalla legge (es. 10 anni per dati fiscali).
  • Limitazione (Art. 18 GDPR): Ottenere la limitazione del trattamento in determinate circostanze.
  • Portabilità (Art. 20 GDPR): Ricevere i dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli a un altro titolare del trattamento.
  • Opposizione (Art. 21 GDPR): Opporti al trattamento dei dati personali per motivi legittimi, incluso il trattamento per finalità di marketing diretto.
  • Revoca del consenso: Revocare il consenso in qualsiasi momento per i trattamenti basati su consenso, senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.
  • Diritto di spiegazione AI (Art. 13(2)(f) GDPR, AI Act Art. 13): Ricevere informazioni chiare e comprensibili su:
    • Come il sistema AI ha processato i tuoi dati
    • La logica utilizzata per l'estrazione dei dati
    • Le conseguenze del processing automatizzato
    • Come contestare o richiedere revisione dei risultati dell'AI
    Puoi richiedere una spiegazione dettagliata dei risultati dell'estrazione AI contattandoci all'indirizzo info@autofattura.io.
  • Diritto di non essere sottoposto a decisioni automatizzate (Art. 22 GDPR): Non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che producano effetti giuridici o incidano significativamente sulla tua persona. Nel nostro servizio, tutte le decisioni finali richiedono la tua approvazione esplicita.
  • Reclamo (Art. 77 GDPR): Presentare un reclamo all'autorità di controllo competente (Garante per la Protezione dei Dati Personali -www.garanteprivacy.it) se ritieni che il trattamento dei dati personali violi il GDPR.

Per esercitare i tuoi diritti, puoi contattarci all'indirizzo email: info@autofattura.io. Risponderemo alla tua richiesta entro 30 giorni dalla ricezione.

9. Misure di Sicurezza

Adottiamo misure tecniche e organizzative appropriate per proteggere i dati personali contro accessi non autorizzati, perdita, distruzione o alterazione, in conformità all'Art. 32 GDPR:

  • Crittografia: Tutti i dati vengono trasmessi utilizzando protocolli crittografati (HTTPS/TLS). I documenti PDF sono conservati in storage crittografato.
  • Controllo accessi: Accesso ai dati limitato solo al personale autorizzato e necessario per l'erogazione del servizio. Utilizziamo autenticazione a più fattori per gli account amministrativi.
  • Backup e disaster recovery: Backup regolari dei dati con procedure di ripristino testate.
  • Monitoraggio e audit: Monitoraggio continuo dei sistemi e log delle attività per rilevare e prevenire accessi non autorizzati.
  • Sicurezza AI: I dati inviati al sistema AI vengono processati tramite connessioni sicure e non vengono utilizzati per addestrare modelli o altri scopi.
  • Aggiornamenti e patch: Mantenimento aggiornato di software e sistemi con applicazione tempestiva di patch di sicurezza.

10. Data Protection Impact Assessment (DPIA)

In conformità all'Art. 35 GDPR, abbiamo effettuato una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per valutare i rischi associati al trattamento dei dati personali, in particolare in relazione all'uso di sistemi AI per l'estrazione dati.

La DPIA ha identificato e valutato i rischi potenziali e le misure di mitigazione implementate. Una copia sintetica della DPIA è disponibile su richiesta contattandoci all'indirizzo info@autofattura.io.

11. Conformità AI Act - Aspetti Privacy

In conformità al Regolamento UE sull'Intelligenza Artificiale (AI Act - Regolamento UE 2024/1689), che è entrato in vigore il 1° agosto 2024, garantiamo i seguenti aspetti relativi al trattamento dei dati personali:

  • Trasparenza: Informiamo chiaramente gli utenti sull'uso di sistemi AI, sul fornitore utilizzato, sui trasferimenti dati e sulla logica del processing (come descritto nella sezione 4.1).
  • Diritto di controllo: Garantiamo all'utente il diritto di verificare, modificare e contestare i risultati dell'AI prima della loro approvazione finale (come descritto nella sezione 4.1.5 e 8).
  • Sicurezza dei dati: Adottiamo misure tecniche e organizzative appropriate per proteggere i dati personali processati dall'AI, inclusi trasferimenti sicuri e garanzie contrattuali con il fornitore AI (come descritto nelle sezioni 4.1.3, 7 e 9).
  • Diritto di spiegazione: Gli utenti hanno il diritto di ricevere spiegazioni su come l'AI ha processato i loro dati (come descritto nella sezione 8).

Per informazioni sugli aspetti contrattuali e operativi della conformità AI Act, inclusi obblighi di verifica e supervisione umana, si rinvia ai nostriTermini e Condizioni, sezioni 3 e 4.

Stiamo monitorando l'evoluzione degli obblighi dell'AI Act, che saranno completamente applicabili entro agosto 2026, e ci adegueremo tempestivamente a eventuali nuovi requisiti.

12. Modifiche alla Privacy Policy

Ci riserviamo il diritto di modificare questa privacy policy in qualsiasi momento per riflettere cambiamenti nelle nostre pratiche, nella tecnologia utilizzata o negli obblighi normativi. Le modifiche saranno pubblicate su questa pagina con indicazione della data di ultimo aggiornamento.

Se le modifiche sono significative (ad esempio, cambiamenti nella base giuridica, nuove finalità di trattamento, nuovi trasferimenti dati), ti informeremo via email all'indirizzo associato al tuo account e/o tramite notifica sul sito.

Ti invitiamo a consultare periodicamente questa pagina per rimanere informato su come proteggiamo i tuoi dati personali.

13. Contatti

Per qualsiasi domanda, richiesta o per esercitare i tuoi diritti riguardanti questa privacy policy o il trattamento dei tuoi dati personali, puoi contattarci:

  • Email: info@autofattura.io
  • Indirizzo: AI SOLUTIONS S.R.L., VIA DI COLTURA 11, 38123 Trento (TN)

Ci impegniamo a rispondere a tutte le richieste entro 30 giorni dalla ricezione, come previsto dal GDPR.